Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

Vi tager gerne spørgsmål undervejs

Offentliggjort afMathilde Thøgersen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "Vi tager gerne spørgsmål undervejs"— Præsentationens transcript:

1 Vi tager gerne spørgsmål undervejs
Dagsorden  17.00 – Velkomst ved Mikael Wandt Laursen, FrikirkeNet 17.10 – Mette Grovermann, ISOBRO, gennemgår centrale punkter i persondataforordningen 18.00 – Vi spiser lidt aftensmad 18.30 – KAFFE  + Mette Grovermann, ISOBRO, fortsætter gennemgangen af centrale punkter. 20.30 – Mulighed for besvarelse af øvrige spørgsmål fra salen om alt muligt andet end persondataforordningen 20.50 – Tak for i aften ved Mikael Wandt Laursen, FrikirkeNet Vi tager gerne spørgsmål undervejs

2 Persondataforordning Mette Grovermann sekretariatschef, ISOBRO

3 Lidt om mig  15 år ISOBRO Uddannet indenfor markedsføring og kommunikation DPO uddannet hos Kammeradvokaten Hvad er mine kvalifikationer? At jeg kender foreningsdanmark ret godt! Har frikirke baggrund, så jeg kender mekanismerne Målet er, at få omsat GDPR til terrængående dansk, I kan bruge i jeres dagligdag Jeg ved ikke alt om GDPR – vi er på en rejse sammen – ingen ved alt pt.

4 Hvad går det ud på? I skal kunne udarbejde en privatlivspolitik, som skal ligge på jeres hjemmeside Transparens er kodeordet Først gennemgår vi loven Dernæst taler vi om, hvad I skal gøre

5 Hvor langt er vi dag ift. gældende lov? Hvad ved vi om GDPR?
Træder i kraft 25.maj 2018 Hvem er den lavet for? Undtagelser? Hvad kan ISOBRO bidrage med? Meget er afklaret, noget vil INGEN svare på, andet skal vi selv beslutte os for VIGTIGT for processen: Hvad gør I?

6 Processen frem til Forordningen Betænkningen Informationspjece De resterende vejledninger Der kommer vejledning til foreninger om frivillige

7 Det er jeres ansvar at sikre, I overholder forordningen
EU harmonisering mhp. at forbedre borgernes databeskyttelse IKKE revolution med evolution Nye ord: den registrerede / dataansvarlige / databehandler / DPO Identificerbare personer skal beskyttes Forordningen angiver RET ikke PLIGT – det er reguleret andetsteds Forordningen understøtter anden lov men overruler ikke

8 Anvendelsesområde Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Hvad er behandling? Enhver aktivitet eller række af aktiviteter som personoplysninger gøres til genstand for Hvad er personoplysninger? Navn, IP, CPR nr., nr. plade, adresse, familiemæssige oplysninger, kreditkort nr., mailadresse, foto …. Hvad er et register? Dvs. excelark, worddokumenter, s, A4-mapper med lister, databaser, rengskabsprogrammer, webshops, kartotekskort i en kasse ….

9 Principper for behandling af data
Artikel 5 er GRUNDLOVEN Behandles lovligt, rimeligt og på en gennemsigtig måde Indsamles til udtrykkeligt angivne formål og må ikke viderebehandles på en uforenelig måde - formålsbestemthedsprincip - må bruges til dét, de er indsamlet til Tilstrækkelige, relevante og begrænsede - minimalitetsprincip Være korrekte og ajourførte – berigtigelse Ikke gemmes længere end nødvendigt Formålet skal være sagligt - det skal kunne begrundes Behandling nødvendig – sagligt behov for at anvende personoplysninger – fx indberetning af gaver til Skat Diabetesforeningen type 1 eller 2

10 2 kategorier af data: almindelige og personfølsomme data Lovlig behandling / hvor er hjemlen?
Samtykke Opfyldelse af kontrakt / aftale = medlemskab Retlig forpligtelse, der påhviler dataansvarlige Beskytte de registreredes eller andens vitale interesser Opgave i samfundets interesse – off. Myndighedsudøvelse Legitim interesse

11 Personfølsomme data Race eller etnisk baggrund
Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold Genetiske eller biometriske data hvis behandling med henblik på identifikation Helbredsoplysninger Seksuelle forhold / seksuel orientering

12 Behandlingshjemmel: personfølsomme data
Det er relevant at skelne mellem kategorien af data af hensyn til hjemlen til behandling Artikel 9 1.   Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt. 2. Stk. 1. finder ikke anvendelse hvis bl.a. d) Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at personoplysningerne ikke videregives uden for organet uden den registreredes samtykke.

13 Må ikke behandles, MEDMINDRE der er afgivet udtrykkeligt samtykke eller hjemmel jvnf. artikel 9 (d) – ikke videregivelse mellem medlemmer Mellem hoved og lokalforening? – JA hvis INFORMERET og vedtægtsforankret Hvad med de data, vi har? Informer om det i nyhedsbrev eller medlemsblad el.lign. Særlige regler for børn mellem 13 og 16 år

14 Medlemmer / støtter Medlemskab er vedtægtsforankret
Jo bredere medlemsdefinition desto flere data at holde styr på Støtter / bidragydere er typisk IKKE vedtægtsforankret Persondatamæssigt skal de sidestilles Hvad med de frivillige? Grad af tilknytning Procedurer Jo bredere medlemsbegreb desto mere sårbare er I

15 Frivillige - nye Vi forventer justitsministeriet udarbejder vejledning - ISOBRO bidrager gerne dertil FX Kontaktkort: henvis til privatlivspolitik på kortet Kontaktliste til børnekirke: henvis til privatlivspolitik på listen Lav klare procedurer for, hvornår I destruerer kort / lister OG sørg for, der bliver fulgt op på procedurerne Nyhedsbrev: Alle kan skrives op uanset bekendelse. Medlem: Hvad er jeres medlemsdefinition? Den skal være tydelig og adskille sig fra tilmelding til nyhedsbrevet. HVIS der ikke kan adskilles vil man formentlig mene, at tilmelding til nyhedsbrev er personfølsom data. Lav klare procedurer for, hvornår I sletter data OG sørg for, der bliver fulgt op på procedurerne.

16 Håndtering af data i 2. eller 3. led
Jeg er leder af lovsangskoret, jeg står med kontaktdata på kirkens web. Jeg har afgivet samtykke til at mine private data, mail + mobil, samt foto må fremgå af web. Jeg håndterer data for samtlige, der er involveret i kirkens lovsang. De ligger på min private PC og telefon. Alle udveksler data med hinanden på kryds og tværs. Hvordan håndterer vi det?

17 Samtykke skal være: frivilligt – uden tvang og baseret på reelt og frit valg. Videre kan ”klar” skævhed mellem den registrerede og den dataansvarlige bevirke, at samtykke ikke er frivilligt, navnlig hvor den dataansvarlige er en offentlig myndighed, ligesom samtykke ikke er frivilligt, hvis afgivelse er en betingelse for opfyldelse af en kontrakt eller ydelse af en tjeneste specifikt – hvilke oplysninger og til hvad informeret – hvem behandler og hvordan utvetydigt – der skal ikke være tvivl om afgivelse eller omfanget af et samtykke Ikke stiltiende eller indirekte - mulighed for udøvelse af kontrol gennem samtykke Ikke krav om skriftlighed, men den dataansvarlige har bevisbyrden, jf. Art 7, stk. 1, så praktisk – ved følsomme oplysninger nok også nødvendigt Den registrerede kan til enhver tid trække sit samtykke tilbage, OG man skal oplyse om denne mulighed i forbindelse med indhentelse af samtykke

18 Den registreres rettigheder DET SKAL VÆRE PÅ PLADS i henhold til forordningens formål om transparens - MEGET omfattende! Oplysningspligt Ret til uopfordret at få diverse oplysninger om behandlingen af oplysninger Indsigt – se slide 18 Ret til på opfordring af få indsigt i hvilke oplysninger der behandles af den dataansvarlige Berigtigelse Ret til at få urigtige oplysninger berigtiget Sletning Ret til at få slettet oplysninger (the right to be forgotten) – hvad med ønsker ikke kontakt? Begrænsning Ret til ”blokering” i en periode / begrænsning af behandling Dataportabilitet Ret til at få personlige oplysninger med til en ny leverandør Indsigelse og automatiske beslutninger Ret til indsigelse mod behandling Ret til ikke at være genstand for automatiske individuelle afgørelser + profilering

19 Oplysningspligt - indsamling hos den registrerede selv, jf
Oplysningspligt - indsamling hos den registrerede selv, jf. Art 13 Følgende oplysninger skal gives på indsamlingstidspunktet, mm. den registrerede allerede er bekendt hermed: Identitet/kontaktoplysninger på dataansvarlig i forening, evt. repræsentant og DPO Formål(ene) med behandlingen og retsgrundlaget Legitime interesser hvis retsgrundlag er Art 6, stk. 1, litra (f) Modtagere eller kategorier af modtagere fx myndigheder, samarbejdspartnere etc. Om oplysningerne overføres til tredjelande/en international organisation + retsgrundlaget herfor Hvor længe oplysningerne behandles eller kriterier til fastlæggelse heraf Den registreredes rettigheder – se foregående slide Retten til at tilbagekalde samtykke Retten til at klage til tilsynsmyndigheden Hvorvidt det er et lovkrav eller et krav baseret på en kontrakt, at den registrerede afgiver personoplysninger Forekomsten af automatiserede afgørelser, herunder profilering, samt opbygning og betydningen heraf Det anbefales at underretningen er skriftlig Den dataansvarlige er forpligtet til at give meddelelse én gang Hvis der skal ske viderebehandling til et andet formål, så ”ny” oplysningspligt

20 Oplysningspligt, hvis oplysninger IKKE er indsamlet hos den registrerede selv, jf. Art 14
Identitet/kontaktoplysninger på dataansvarlig i forening, evt. repræsentant og DPO Formål(ene) med behandlingen og retsgrundlaget Berørte kategorier af personoplysninger Modtagere eller kategorier af modtagere Om oplysningerne overføres til tredjelande/en international organisation + retsgrundlaget herfor Hvor længe oplysningerne behandles eller kriterier til fastlæggelse heraf Den registreredes rettigheder Retten til at tilbagekalde samtykke Retten til at klage til tilsynsmyndigheden Hvorvidt det er et lovkrav eller et krav baseret på en kontrakt, at den registrerede afgiver personoplysninger Forekomsten af automatiserede afgørelser, herunder profilering, samt opbygning og betydningen heraf

21 Oplysningspligt Henvis til jeres privatlivspolitik på alt materiale, der har med databehandling at gøre Sørg for ved den første digitale kontakt at lave LINK direkte til privatlivspolitik på web Henvis på kontaktkort, medlemslister, arbejdsgruppeliste mv. Den må IKKE være svær at finde Hav jeres vedtægter, medlemsdefinition mv. samme sted, så det er nemt at se, hvad det betyder for MIG – lige NU

22 Den registreredes indsigtsret, jf. Art 15
– den registreredes ret til på anmodning at få svar på, om oplysninger vedr. vedkommende behandles samt at få adgang til oplysningerne + til følgende: Formål(ene) med behandlingen og retsgrundlaget Kategorier af personoplysninger Modtagere eller kategorier af modtagere Fx off. Myndigheder, samarbejdspartnere, mv. Hvor længe, oplysningerne behandles eller kriterier til fastlæggelse heraf Den registreredes rettigheder til berigtigelse, sletning, begrænsning og indsigelse Retten til at klage til tilsynsmyndigheden Enhver tilgængelig information om, hvor oplysningerne stammer fra, hvis de ikke er indsamlet hos den registrerede selv Forekomsten af automatiserede afgørelser, herunder profilering, samt opbygning og betydningen heraf Om oplysningerne overføres til tredjelande/en international organisation + fornødne garantier i hht. Art 46. Den dataansvarlige skal udlevere kopi – kan kræve rimelig betaling for yderligere kopier. Elektroniske anmodninger besvares elektronisk De oplysninger, der behandles på tidspunktet for begæringen og frem til ekspedition

23 Den dataansvarlige har en slettepligt, jf. Art 17,
Ikke længere nødvendigt at behandle oplysningerne Samtykke trækkes tilbage, og der er ikke et andet behandlingsgrundlag Begrundet indsigelse mod behandling i medfør af Art 6, stk. 1, litra (e) eller (f) Indsigelse mod behandling til direkte markedsføring + profilering i dette øjemed Ulovlig behandling af personoplysninger Følger af national ret eller EU-ret Vedrører behandling af oplysninger baseret på samtykke fra barn Ovenstående gælder ikke, såfremt: 1) informations/ytringsfrihed, 2) retlig forpligtelse/opgave i samfundets interesse, 3) folkesundhed, 4) arkivformål mv. 5) nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares. OBS: den dataansvarlige skal i rimeligt omfang foranstalte sletning i videre led, jf. Art 17, stk. 2 Ret til sletning - ”retten til at blive glemt”

24 Den registreredes ret til at få sine oplysninger ”med sig”, jf
Den registreredes ret til at få sine oplysninger ”med sig”, jf. Art 20, hvis: behandlingen er baseret på samtykke eller kontraktopfyldelse, og behandlingen foretages automatisk Retten til dataportabilitet omfatter kun oplysninger, som den registrerede ”selv” har givet til den dataansvarlige Hvis teknisk muligt, så omfatter retten til dataportabilitet en ret til at få oplysningerne ”transmitteret” direkte fra den dataansvarlige til en anden

25 NYE ORD dataansvarlig – databehandler
Dataansvarlig En meget grov tommelfingerregel her er: Den, der bestemmer om data skal slettes landsforening / lokalforening Databehandler Den data overlades til, der handler alene på instruks

26 Databehandler Databehandlere underlagt langt strengere krav end efter persondataloven, bl.a. Næsten identiske dokumentationskrav som dataansvarlige Den dataansvarlige skal kun bruge databehandlere, der giver tilstrækkelige garantier vedr. implementering af passende tekniske og organisatoriske foranstaltninger, så behandlingen sker i overensstemmelse med forordningens krav og sikrer beskyttelse af datasubjektets rettigheder Databehandlerens ansvar ift. databehandleraftaler Indhentelse af den dataansvarliges samtykke ved overladelse af oplysninger til andre/nye underdatabehandlere Underdatabehandleraftaler Sikring af, at underdatabehandlere opfylder deres forpligtelser Indgåelse af databehandleraftaler – stadig den dataansvarliges ansvar

27 Krav til databehandleraftale
Behandlingens varighed Formålet med behandlingen Typer af data der behandles Kategorier af datasubjekter / registrerede Databehandlerens pligter og rettigheder, navnlig at databehandlere skal: alene behandle data efter den dataansvarliges dokumenterede instruks sikre at medarbejdere, der behandler data, er underlagt en fortrolighedsforpligtelse efterkomme alle lovpligtige sikkerhedsforanstaltninger overholde krav vedrørende anvendelse af andre databehandlere i muligt omfang bistå den dataansvarlige med at behandle begæringer, udarbejde PIA, underretning af tilsynsmyndigheden ved sikkerhedsbrud mv. være i stand til over for den dataansvarlige at fremvise alt nødvendig information for at dokumentere compliance med reglerne i forordningen

28 Databehandler Overlader I data til behandling udenfor dette cvr. nr.?
Databehandleraftale HH drift? Bluegarden, mailchimp, dropbox, Nets, webshop etc. Kan integreres i forretningsbetingelserne, HVIS DE OPFYLDER kravene i forordningen Databehandler = den data overlades til FORSKEL PÅ OVERLADELSE OG VIDEREGIVELSE

29 Privacy by design Databeskyttelse gennem indstillinger – tekniske* og organisatoriske foranstaltninger Gennemførelse af mekanismer med henblik på, som udgangspunkt, at sikre at der kun behandles nødvendige personoplysninger i forhold til behandlingsformålet at der kun sker nødvendig indsamling og opbevaring i forhold til behandlingsformål (både mængde, omfang og periode) Mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer uden datasubjektets vidende * Tekniske ved NYE SYSTEMER!

30 Behandlingssikkerhed art. 32
Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

31 Artikel 32 fortsat: a) pseudonymisering og kryptering af personoplysninger b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester c) evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. 3. Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1. 4. Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

32 Fortegnelse over behandlingsaktiviteter - se side 461 i betænkning 1. Hver dataansvarlig og hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysninger: a) navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren b) formålene med behandlingen c) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger d) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer e) hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier f) hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger g) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1. 2. Hver databehandler og, hvis det er relevant, databehandlerens repræsentant fører fortegnelser over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig, idet fortegnelsen skal indeholde: a) navn på og kontaktoplysninger for databehandleren eller databehandlerne og for hver dataansvarlig, på hvis vegne databehandleren handler, samt, hvis det er relevant, den dataansvarliges eller databehandlerens repræsentant og databeskyttelsesrådgiveren b) de kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige c) hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier d) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1. De fortegnelser, der er omhandlet i stk. 1 og 2, skal foreligge skriftligt, herunder elektronisk. Den dataansvarlige eller databehandleren samt, hvis det er relevant, den dataansvarliges eller databehandlerens repræsentant stiller efter anmodning fortegnelserne til rådighed for tilsynsmyndigheden. 5. De i stk. 1 og 2 omhandlede forpligtelser finder ikke anvendelse på et foretagende eller en organisation, der beskæftiger under 250 personer, medmindre den behandling, som den foretager, sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.

33 Brud på sikkerheden Art. 33 til tilsynsmyndigheden
Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen. Hvad er et brud? Et brud der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet

34 Brud på sikkerhed Art. 34 til den registrerede
Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden. 2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b), c) og d). 3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt: a) den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering b) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel c) det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde. 4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.

35 Bøder, der kan mærkes 2 % af virksomhedens omsætning på verdensplan eller 10 mio. euro ved sikkerhedsbrud 4 % af virksomhedens omsætning på verdensplan eller 20 mio. euro den registreredes rettigheder

36 I skal dokumentere, I overholder GDPR
Dokumentationen skal mindst omfatte Navn og kontaktoplysninger på den dataansvarlige i organisationen fx Mette Grovermann i ISOBRO, eller den fælles dataansvarlige og dennes eventuelle repræsentant samt evt. DPO Formålene med behandlingen Beskrivelse af kategorier af datasubjekter og kategorier af personoplysninger vedrørende datasubjekter Kategorier af modtagere af personoplysningerne Evt. overførsel af personoplysninger til et tredjeland, herunder identifikation af dette tredjeland, og dokumentation af fornødne garantier ved overførsel til ikke-sikre tredjelande En generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger Hvis muligt, en beskrivelse de tekniske og organisatoriske sikkerhedsforanstaltninger

37 Data Protection Officer DPO
Hvem skal have en DPO: behandling foretages af en offentlig myndighed eller et offentligt organ, undtagen domstole, der handler i deres egenskab af domstol den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, og personoplysninger vedrørende straffedomme og lovovertrædelse Udpeg en person, der ved mere end alle andre i organisationen! HUSK – det skal vedligeholdes / opdateres – hav en årlig gennemgang Når I laver regnskab – lav data-regnskab Gennemgå interne procedurer, politikker, og kommunikation til den registrerede

38 De 12 spørgsmål Har organisationen kendskab til den nye databeskyttelsesforordning? Hvilke personoplysninger behandler I? Hvilken information giver I de registrerede? Hvordan opfylder I de registreredes rettigheder? På hvilket grundlag behandler I personoplysninger? Hvordan indhenter I samtykke? Behandler I personoplysninger om børn? Hvad skal I gøre ved brud på datasikkerheden? Er jeres behandlinger forbundet med særlige risici? Har I indtænkt databeskyttelse i jeres systemer? Hvem er ansvarlig for databeskyttelsesspørgsmål i organisationen? Driver I virksomhed i flere lande?

39 SKEMA MEDLEMMER Oprettelse / indmeldelse General beskrivelse af:
Formål Arbejdsopgaver, denne funktion varetager Personlige oplysninger, der behandles Hvor/fra hvem personoplysningerne indsamles fra Hvordan oplysningerne behandles/behandlingsaktiviteterne Hvilket juridisk grundlag behandlingen er baseret på, fx samtykke, aftale, retskrav, berettiget interesse Hvordan persondata opbevares, opdateres/vedligeholdes, slettes, o.l. Til hvem persondata overlades og/eller videregives, fx indenfor virksomheden/organisationen, til databehandlere såsom it-leverandører, eller til nye dataansvarlige såsom offentlige myndigheder, pensions/forsikringsselskaber, andre Hvilke informationer der gives de registrerede/data subjekterne Hvordan reglerne om de registreredes rettigheder opfyldes Hvilke tekniske og organisatoriske foranstaltninger, der er implementeret i forhold til sikkerhed Tilmelding til nyhedsbreve Opkrævning / betaling af kontingent Indkaldelse til møder m.v. Udmeldelse [indsæt yderligere funktionsområder hvis og hvis]

40 Andre værktøjer? Datakompagniet Thomas Larsen, teknisk direktør Send en til Ring på

41 https://privacykompasset.erhvervsstyrelsen.dk/
Privacy Kompasset Hvordan bruger vi Privacy Kompasset rent praktisk? Hvad betyder det, der står? Generer privatlivspolitik Isobro.dk – medlemsmøder – find medlemsmøde Der er der fire skabeloner – kig efter dem!!! 

42 Bestyrelsen / medarbejdere / frivillige på web?
Samtykke hvis foto, privatmail, privat telefon etc. Brug af fotos generelt? Brug af frivillige? = ansatte ellers databehandleraftale Lokal struktur / kredse? Hvad gør de? Er det vedtægtsforankret? Henvis til vedtægter iforbindelse med oplysningspligten til den registrerede

43 Hvornår sletter vi data?
Generelle regler: 5 år + indeværende = bogføringsloven gælder også for HR dvs. ansættelseskontrakter, løn mv. 3 år = Skat Gaveskema – / Noget sletter vi NU – husk indbakken Brug sikker mail ved personfølsomme data LAV KLARE SLETTEPOLITIKKER og procedurer for sikring af overholdelse

44 Hvad bidrager ISOBRO med?
standard databehandleraftale privatlivspolitik til brug på hjemmesider (udadvendt) privatlivspolitik vedr. behandling af medarbejderoplysninger (intern) overordnet politik for intern håndtering og behandling af oplysninger (dvs. om medlemmer, kunder, medarbejdere, frivillige, mv.) overordnet slettepolitik overordnet struktur for håndtering af datasubjektets rettigheder – vil bestå af forskellige forretningsgange Dette er intet værd, hvis I ikke laver jeres hjemmearbejde så er det blot flødeskumslagkage uden lagkage

45 Hvad skal I gøre nu? Hvor skal projektet forankres?
Hvor går data hen i organisationen? Hvordan kommer de ind? – HUSK oplysningspligten her! Hvem behandler dem – til hvilket formål? Hvem sletter dem? Hvilke typer data har I? Hvor går data ud af huset? – er der lavet databehandleraftale? Kom i gang – det vigtigste råd er, at I går i gang NU! I starter med at få 03 – så 5 – så 6 – 7 – så 8 og så videre … 

46 Rigtig god arbejdslyst
   hjælp hinanden    lav netværk hvor I videndeler lav arbejdsgrupper så I sikrer fremdrift lav fælles procedurer så vidt det er muligt Hvis alle bliver enige om, at ”vi” gør sådan, så står I skulder ved skulder og dermed stærkere – I viser, I har taget stilling. Rigtig god arbejdslyst

Download ppt "Vi tager gerne spørgsmål undervejs"

Lignende præsentationer

Retssikkerhedskonference 8. november 2011 i Landstingssalen.

Retssikkerhedskonference 8. november 2011 i Landstingssalen.
Lederkursus December 2014. Sagsbehandlerloven Landstingslov nr 8/1994 om sagsbehandling i den offentlige forvaltning.

Lederkursus December Sagsbehandlerloven Landstingslov nr 8/1994 om sagsbehandling i den offentlige forvaltning.
Muligheder og perspektiver1 Tema 1 Styringssystemer B Forskellige styringsmodeller, jura og principper for håndtering af selvstyret.

Muligheder og perspektiver1 Tema 1 Styringssystemer B Forskellige styringsmodeller, jura og principper for håndtering af selvstyret.
Program for mødet Kl. 10.00: Velkomst Kl. 10.10: Introduktion til lovændringen og de særlige opmærksomhedspunkter v/ Socialstyrelsen Kl. 10.40: Særlige.

Program for mødet Kl : Velkomst Kl : Introduktion til lovændringen og de særlige opmærksomhedspunkter v/ Socialstyrelsen Kl : Særlige.
Offentlighedsloven. Landstingslov nr 9 af 13. juni 1994 om offentlighed i forvaltningen. Landstingslov nr 1 af 31. maj 1999 om ændring af lov om offentlighed.

Offentlighedsloven. Landstingslov nr 9 af 13. juni 1994 om offentlighed i forvaltningen. Landstingslov nr 1 af 31. maj 1999 om ændring af lov om offentlighed.
7. Oktober 2015 Datatilsynet og forskningsregistrering.

7. Oktober 2015 Datatilsynet og forskningsregistrering.
Hvad skal vi lære i dag? 1.At løse en eksamensagtig opgave 2.At få afklaret nogle tvivlsspørgsmål om etableringsretten 3.Introducere til den frie bevægelighed.

Hvad skal vi lære i dag? 1.At løse en eksamensagtig opgave 2.At få afklaret nogle tvivlsspørgsmål om etableringsretten 3.Introducere til den frie bevægelighed.
Indkøb under tærskelværdierne efter den nye udbudslov (af 1. jan. 2016) … lad os starte med en lille film.

Indkøb under tærskelværdierne efter den nye udbudslov (af 1. jan. 2016) … lad os starte med en lille film.
Skader sket i aktivering Anmeldelse, definitioner og forsikringer

Skader sket i aktivering Anmeldelse, definitioner og forsikringer
Stigende krav til behandling af persondata

Stigende krav til behandling af persondata
Voksenansvar for anbragte børn og unge Rusmiddeltest

Voksenansvar for anbragte børn og unge Rusmiddeltest
DATATILSYNENES ROLLE OG OPGAVER

DATATILSYNENES ROLLE OG OPGAVER
Persondata – kortlægning af skolens behandling

Persondata – kortlægning af skolens behandling
Respekt for Grænser Fakta

Respekt for Grænser Fakta
Hvor gør du af din bekymring for dit barns skolegang?

Hvor gør du af din bekymring for dit barns skolegang?
Alle anbringelsessteder Plejefamilier Private opholdssteder

Alle anbringelsessteder Plejefamilier Private opholdssteder
VVM-screening ENVINA 1 October 2015 COWI Powerpoint presentation

VVM-screening ENVINA 1 October 2015 COWI Powerpoint presentation
Seminar, den 20. april 2017 Præsentation af Parasollens USB-Pind.

Seminar, den 20. april 2017 Præsentation af Parasollens USB-Pind.
Persondata – kortlægning af skolens behandling

Persondata – kortlægning af skolens behandling
DUBU Superbrugerrollen

DUBU Superbrugerrollen

Lignende præsentationer

Annoncer fra Google